Articolo 17
Archivio comune di dati di identità
1. Al fine di agevolare e contribuire alla corretta identificazione delle persone registrate nell’EES, nel VIS, [nell’ETIAS], nell’Eurodac e [nel sistema ECRIS-TCN], sostenere il funzionamento del rilevatore di identità multiple e agevolare e semplificare alle autorità di contrasto l’accesso ai sistemi di informazione estranei al settore del contrasto a livello dell’UE quando necessario a fini di prevenzione, indagine, accertamento o perseguimento di reati gravi, è istituito un archivio comune di dati di identità (CIR) che, per ciascuna persona registrata nell’EES, nel VIS, [nell’ETIAS], nell’Eurodac o [nel sistema ECRIS-TCN], crea un fascicolo individuale contenente i dati di cui all’articolo 18.
2. L’archivio comune di dati di identità è composto di:
(a) un’infrastruttura centrale che sostituisce i sistemi centrali dell’EES, del VIS, [dell’ETIAS], dell’Eurodac e [del sistema ECRIS-TCN], rispettivamente, nella misura in cui conserva i dati di cui all’articolo 18;
(b) un canale di comunicazione sicuro tra l’archivio comune di dati di identità, gli Stati membri e gli organi dell’UE autorizzati ad usare il portale di ricerca europeo conformemente al diritto dell’Unione;
(c) un’infrastruttura di comunicazione sicura tra l’archivio comune di dati di identità e l’EES, il VIS, [l’ETIAS], l’Eurodac e [il sistema ECRIS-TCN]
nonché tra l’archivio comune e le infrastrutture centrali del portale di ricerca europeo, del servizio comune di confronto biometrico e del rilevatore di identità multiple.
3. eu-LISA provvede allo sviluppo dell’archivio comune di dati di identità e ne assicura la gestione tecnica.
Articolo 18
Dati dell’archivio comune di dati di identità
1. L’archivio comune di dati di identità conserva i seguenti dati, separati per logica in base al sistema di informazione di provenienza:
(a) i dati di cui [all’articolo 16, paragrafo 1, lettere da a) a d), e all’articolo 17, paragrafo 1, lettere da a) a c), del regolamento EES];
(b) i dati di cui all’articolo 9, punto 4, lettere da a) a c), e all’articolo 9, punti 5 e 6, del regolamento (CE) n. 767/2008;
(c) [i dati di cui all’articolo 15, paragrafo 2, lettere da a) a e), del regolamento ETIAS;]
(d) – (non pertinente) (e) – (non pertinente)
2. Per ciascuna serie di dati di cui al paragrafo 1 l’archivio comune di dati di identità inserisce un riferimento ai sistemi di informazione cui appartengono i dati.
3. La conservazione dei dati di cui al paragrafo 1 rispetta le norme di qualità di cui all’articolo 37, paragrafo 2.
Articolo 19
Aggiunta, modifica e cancellazione di dati nell’archivio comune di dati di identità 1. Qualora nell’EES, nel VIS o [nell’ETIAS] siano aggiunti, modificati o cancellati
dati, sono aggiunti, modificati o cancellati di conseguenza, in modo automatizzato, i dati di cui all’articolo 18 conservati nel fascicolo individuale dell’archivio comune di dati di identità.
2. Qualora il rilevatore di identità multiple crei un collegamento bianco o rosso, conformemente all’articolo 32 o all’articolo 33, tra i dati di due o più sistemi di informazione dell’UE che compongono l’archivio comune di dati di identità, quest’ultimo non crea un nuovo fascicolo individuale, bensì aggiunge i nuovi dati al fascicolo individuale dei dati oggetto del collegamento.
Articolo 20
Accesso all’archivio comune di dati di identità a fini di identificazione
1. L’autorità di polizia di uno Stato membro appositamente autorizzata da una misura legislativa nazionale di cui al paragrafo 2 può, unicamente ai fini dell’identificazione
di una persona, interrogare l’archivio comune di dati di identità con i dati biometrici dell’interessato acquisiti durante una verifica d’identità.
Se dall’interrogazione risulta che nell’archivio comune sono conservati dati dell’interessato, l’autorità dello Stato membro ha accesso all’archivio comune per consultare i dati di cui all’articolo 18, paragrafo 1.
Se non possono essere usati i dati biometrici dell’interessato o se l’interrogazione con tali dati non dà esito, l’interrogazione è effettuata con i dati di identità dell’interessato combinati con i dati del documento di viaggio oppure con i dati di identità forniti dall’interessato.
2. Gli Stati membri che intendono valersi della possibilità offerta dal presente articolo adottano misure legislative nazionali. Tali misure specificano le finalità esatte delle verifiche di identità nell’ambito degli obiettivi di cui all’articolo 2, paragrafo 1, lettere b) e c). Designano le autorità di polizia competenti e stabiliscono le procedure, le condizioni e i criteri di tali verifiche.
Articolo 21
Accesso all’archivio comune di dati di identità a fini di individuazione di identità multiple 1. Se un’interrogazione dell’archivio comune di dati di identità dà luogo a un
collegamento giallo conformemente all’articolo 28, paragrafo 4, l’autorità responsabile della verifica delle identità diverse determinata conformemente all’articolo 29 ha accesso, unicamente ai fini della verifica, ai dati di identità conservati nell’archivio comune appartenenti ai vari sistemi di informazione interessati dal collegamento giallo.
2. Se un’interrogazione dell’archivio comune di dati di identità dà luogo a un collegamento rosso conformemente all’articolo 32, le autorità di cui all’articolo 26, paragrafo 2, hanno accesso, unicamente a fini di contrasto della frode di identità, ai dati di identità conservati nell’archivio comune appartenenti ai vari sistemi di informazione interessati dal collegamento rosso.
Articolo 22
Interrogazione dell’archivio comune di dati di identità a fini di contrasto
1. Le autorità designate degli Stati membri e Europol possono consultare l’archivio comune di dati di identità per prevenire, accertare o indagare reati di terrorismo o altri reati gravi in un caso specifico e per sapere se nell’EES, nel VIS o [nell’ETIAS]
sono presenti dati su una determinata persona.
2. Quando consultano l’archivio comune ai fini di cui al paragrafo 1, le autorità designate degli Stati membri e Europol non sono autorizzati a consultare i dati appartenenti al [sistema ECRIS-TCN].
3. Se nell’EES, nel VIS o [nell’ETIAS] sono presenti dati sulla persona in questione, l’archivio comune risponde all’interrogazione fornendo alle autorità designate degli Stati membri e a Europol un riferimento al sistema di informazione che contiene i corrispondenti dati di cui all’articolo 18, paragrafo 2. L’archivio comune risponde con modalità che non compromettano la sicurezza dei dati.
4. Il pieno accesso ai dati contenuti nei sistemi di informazione dell’UE a fini di prevenzione, accertamento e indagine di reati di terrorismo o altri reati gravi è
soggetto alle condizioni e procedure previste nei rispettivi strumenti legislativi che disciplinano tale accesso.
Articolo 23
Periodo di conservazione dei dati nell’archivio comune di dati di identità
1. I dati di cui all’articolo 18, paragrafi 1 e 2, sono cancellati dall’archivio comune di dati di identità conformemente alle disposizioni in materia di conservazione dei dati [del regolamento EES], del regolamento VIS e [del regolamento ETIAS]
rispettivamente.
2. Il fascicolo individuale è conservato nell’archivio comune per il tempo in cui i corrispondenti dati sono conservati in almeno uno dei sistemi di informazione i cui dati sono contenuti nell’archivio comune. La creazione di un collegamento non incide sul periodo di conservazione di ciascuno dei singoli dati oggetto del collegamento.
Articolo 24 Registrazioni
1. Fatti salvi [l’articolo 46 del regolamento EES,] l’articolo 34 del regolamento (CE) n.
767/02008, [l’articolo 59 del regolamento ETIAS], eu-LISA conserva le registrazioni di tutte le operazioni di trattamento dei dati effettuate nell’archivio comune di dati di identità conformemente ai paragrafi 2, 3 e 4.
2. Per qualsiasi accesso all’archivio comune di dati di identità ai sensi dell’articolo 20, eu-LISA conserva le registrazioni di tutte le operazioni di trattamento dei dati effettuate nell’archivio comune. Tali registrazioni comprendono, in particolare, i seguenti elementi:
(a) la finalità dell’accesso dell’utente che effettua l’interrogazione tramite l’archivio comune;
(b) la data e l’ora dell’interrogazione;
(c) il tipo di dati usati per avviare l’interrogazione;
(d) i risultati dell’interrogazione;
(e) conformemente alle disposizioni nazionali, al regolamento (UE) 2016/794 o, se applicabile, al regolamento (CE) 45/2001, l’identificazione della persona che ha effettuato l’interrogazione.
3. Per qualsiasi accesso all’archivio comune di dati di identità ai sensi dell’articolo 21, eu-LISA conserva le registrazioni di tutte le operazioni di trattamento dei dati effettuate nell’archivio comune. Tali registrazioni comprendono, in particolare, i seguenti elementi:
(a) la finalità dell’accesso dell’utente che effettua l’interrogazione tramite l’archivio comune;
(b) la data e l’ora dell’interrogazione;
(c) se del caso, i dati usati per avviare l’interrogazione;
(d) se del caso, i risultati dell’interrogazione;
(e) conformemente alle disposizioni nazionali, al regolamento (UE) 2016/794 o, se applicabile, al regolamento (CE) 45/2001, l’identificazione della persona che ha effettuato l’interrogazione.
4. Per qualsiasi accesso all’archivio comune di dati di identità ai sensi dell’articolo 22, eu-LISA conserva le registrazioni di tutte le operazioni di trattamento dei dati effettuate nell’archivio comune. Tali registrazioni comprendono, in particolare, i seguenti elementi:
(a) il riferimento del fascicolo nazionale;
(b) la data e l’ora dell’interrogazione;
(c) il tipo di dati usati per avviare l’interrogazione;
(d) i risultati dell’interrogazione;
(e) il nome dell’autorità che consulta l’archivio comune;
(f) conformemente alle disposizioni nazionali, al regolamento (UE) 2016/794 o, se applicabile, al regolamento (CE) 45/2001, l’identificazione del funzionario che ha effettuato l’interrogazione e del funzionario che ha ordinato l’interrogazione.
Le autorità di controllo competenti istituite conformemente all’articolo 51 del regolamento (UE) 2016/679 o all’articolo 41 della direttiva 2016/680 verificano periodicamente, a intervalli non superiori a sei mesi, le registrazioni dell’accesso per controllare il rispetto delle procedure e delle condizioni di cui all’articolo 22, paragrafi da 1 a 3.
5. Ciascuno Stato membro conserva le registrazioni delle interrogazioni effettuate dal personale debitamente autorizzato a usare l’archivio comune di dati di identità ai sensi degli articoli 20, 21 e 22.
6. Le registrazioni di cui ai paragrafi 1 e 5 possono essere utilizzate unicamente per il monitoraggio ai fini della protezione dei dati, compresa la verifica dell’ammissibilità della richiesta e della liceità del trattamento dei dati, e per garantire la sicurezza degli stessi ai sensi dell’articolo 42. Le registrazioni sono protette dall’accesso non autorizzato con misure adeguate e sono cancellate un anno dopo la loro creazione, a meno che non siano necessarie per procedure di monitoraggio già avviate.
7. Ai fini ai cui al paragrafo 6, eu-LISA conserva le registrazioni relative allo storico dei dati conservati nel fascicolo individuale. Le registrazioni relative allo storico dei dati conservati sono cancellate non appena sono cancellati i dati.